Поясним понятия доступности, целостности и конфиденциальности.

1. Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

2. Под целостностью подразумевается полнота и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Вопросы обеспечения целостности сообщений традиционно рассматривались отдельно от вопросов конфиденциальности – заверялась обычно подлинность только открытых сообщений. Зашифрованные послания считались неподделываемыми уже из-за самого факта неизвестности правил шифра сторонним лицам (из-за чего время от времени искусным дешифровальщикам удавалось оказывать огромное влияние на события всего лишь росчерком пера, подделывая вскрытым шифром ложные сообщения).

В первую очередь, гарантом подлинности старались сделать сам носитель информации – бумагу. При отправке сообщения из центра на периферию государства могло быть достаточным даже использование хорошей качественной бумаги с какими-либо добавками, доступными только при дворе. Более универсальным способом (работавшим при пересылке информации в обоих направлениях) было заверение бумаги:

- печатью на основе воска или сургуча (при получении проверялось рисунок и качество изготовления печати по ее оттиску);

- подписью (но при этом получатель должен был быть знаком с оригиналом подписи отправителя).

Очевидно, что практически все перечисленные меры обеспечения безопасности информации были уязвимы к подделке при затрате определенных средств, поэтому применялись и различные сочетания методов, дополнявшиеся часто еще и устным посланием.

В конце XX века общество перешло в новую, информационную стадию, выразившуюся в:

- отделении информации от носителя;

- унификации записи информации на различные носители (появлении двоичного кода);

- появлении специализированных устройств обработки информации (конечно же, – компьютеров).

Этот этап характеризуется выделением защиты информации в отдельное направление, появлением своего теоретического и методического аппарата.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. (целостность при хранении и передаче)

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.

3. Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Естественно, первоочередной целью защиты информации подавляющий период исторического развития было обеспечение конфиденциальности. Все способы решения этой задачи издавна делились на:

- скрытное хранение и передачу (от сторонних лиц скрывался сам факт хранения или пересылки конфиденциальной информации; придумывались самые разные тайники, изощренные носители информации, невидимые чернила, схемы сокрытия – стеганографии – сообщений);

- шифрованное хранение и передачу (факт наличия конфиденциального послания не скрывался, однако, его было невозможно прочесть, не зная правила дешифрования).

Первые свидетельства о применении методов и первой и второй группы восходят практически ко временам зарождения письменности. А начиная с XVII века, при дворах всех крупных европейских держав содержались достаточно сильные криптографы. Целью их работы было обеспечение конфиденциальной (стеганографической или шифрованной) переписки чиновников двора с удаленными владениями или войсками, а также попытки прочесть аналогичные сообщения других держав, перехваченные разведчиками.

Итак, если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).

Формирование режима информационной безопасности – про­блема комплексная. Меры по ее решению можно разделить на четыре уровня:

1) законодательный (правовой) (законы, нормативные акты, стандарты и т.п.);

2) административный (управленческий, нетехнический – действия общего характера, предпри­нимаемые руководством организации) (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

3) процедурный (организационный) (конкретные меры безопасности, имеющие дело с людьми);

4) программно-технический (конкретные технические меры).